Datalagringsdirektivets endelikt*

*En bearbeidet versjon av innlegget er publisert i Lov & Data 2/2014

8. april 2014 avsa EU-domstolen i Storkammer dom i sakene sakene C-293/12 og C-594/12 (forent til felles behandling), der slutningen gikk ut på at EUs datalagringsdirektiv (2006/24) ble erklært ugyldig, som stridende mot EUs charter om grunnleggende rettigheter.

Spørsmålene for domstolen var blant annet om datalagringsdirektivet var i strid med charterets artikler 7 (om vern av privatliv), 8 (om vern av personopplysninger) og 11 (om ytringsfrihet). Domstolen vurderte først spørsmålene om forholdet til artiklene 7 og 8, og ettersom direktivet ble funnet å være i strid med begge disse, var det unødvendig å vurdere forholdet til artikkel 11 nærmere for å slå fast at direktivet var ugyldig.

Domstolen angrep direktivet på flere punkter. Men det grunnleggende problemet var selve lagringspliktens totalitære karakter, uten målretting og forholdsmessighet, som domstolen blant annet sa følgende om i dommens avsnitt 56 – 59:

(56) As for the question of whether the interference caused by Directive 2006/24 is limited to what is strictly necessary, it should be observed that, in accordance with Article 3 read in conjunction with Article 5(1) of that directive, the directive requires the retention of all traffic data concerning fixed telephony, mobile telephony, Internet access, Internet e-mail and Internet telephony. It therefore applies to all means of electronic communication, the use of which is very widespread and of growing importance in people’s everyday lives. Furthermore, in accordance with Article 3 of Directive 2006/24, the directive covers all subscribers and registered users. It therefore entails an interference with the fundamental rights of practically the entire European population.

(57) In this respect, it must be noted, first, that Directive 2006/24 covers, in a generalised manner, all persons and all means of electronic communication as well as all traffic data without any differentiation, limitation or exception being made in the light of the objective of fighting against serious crime.

(58) Directive 2006/24 affects, in a comprehensive manner, all persons using electronic communications services, but without the persons whose data are retained being, even indirectly, in a situation which is liable to give rise to criminal prosecutions. It therefore applies even to persons for whom there is no evidence capable of suggesting that their conduct might have a link, even an indirect or remote one, with serious crime. Furthermore, it does not provide for any exception, with the result that it applies even to persons whose communications are subject, according to rules of national law, to the obligation of professional secrecy.

(59) Moreover, whilst seeking to contribute to the fight against serious crime, Directive 2006/24 does not require any relationship between the data whose retention is provided for and a threat to public security and, in particular, it is not restricted to a retention in relation (i) to data pertaining to a particular time period and/or a particular geographical zone and/or to a circle of particular persons likely to be involved, in one way or another, in a serious crime, or (ii) to persons who could, for other reasons, contribute, by the retention of their data, to the prevention, detection or prosecution of serious offences.

Denne delen av dommen innebærer, enkelt sagt, at den form for tvangsmessig, systematisk masselagring av alle borgernes kommunikasjonsdata, uten noen som helst målrettethet, er i grunnleggende strid med europeisk rett – uavhengig av om og eventuelt på hvilke vilkår myndighetene kan få innsyn i de lagrende opplysningene.

Dette er helt i tråd med hva et nær unisont uavhengig juridisk fagmiljø i Europa, inkludert alle Europas datatilsyn (tilsvarende Datatilsynet i Norge), har sagt helt siden direktivet kom på dagsorden. Se blant annet høringsuttalelsene fra blant andre Advokatforeningen, Den internasjonale juristkommisjon – norsk avdeling, Universitetet v/juridisk fakultet og Datatilsynet, som ble levert i den norske høringsprosessen, i forkant av at Stortinget vedtok å innføre direktivet i norsk rett. EU-domstolens argumentasjon er dessuten på linje med hva jeg skrev i mitt bidrag til boken Overvåkning i en rettsstat, Dag Wiese Schartum (red), Fagbokforlaget (2010): “Datalagringsdirektivet – er dets krav til lagring forenlig med Den europeiske menneskerettskonvensjon?“.

Reaksjoner fra blant annet statsminister Erna Solberg (som selv var iherdig med hensyn til å få direktivet implementert i norsk rett, sammen med Arbeiderpartiet) i etterkant av EU-domstolens avgjørelse, kan tyde på at noen tror at det norske lovvedtaket kan opprettholdes, til tross for denne dommen. Det må i så fall bero på en grunnleggende feiloppfatning.

Riktignok har ikke EU-domstolens avgjørelser direkte rettskraft i Norge, som ikke er medlem av EU, og rent formelt sett kan så vel Norge som andre land vedta lover om hva som helst, uavhengig av EU.

Men i dette tilfellet er det flere grunner til at Stortingets lovvedtak om tvangslagring ikke lovlig kan settes i kraft.

Den viktigste årsaken er at den begrunnelsen som er gitt av EU-domstolen, bygger på de samme materielle reglene som følger av Den europeiske menneskerettskonvensjonen (EMK). EUs charter om grunnleggende rettigheter er på de punktene som var avgjørende i dommen, ment å være i samsvar med EMK artikkel 8 (om personvern). Det går også uttrykkelig frem av dommen, der det vises til EMK og der praksis fra Den europeiske menneskerettsdomstolen (EMD) vektlegges på lik linje med EU-domstolens egen praksis. EMK er en del av norsk rett, inkorporert gjennom menneskerettsloven, dertil med forrang overfor annen norsk lov. Både Stortinget, norske domstoler og andre norske myndigheter, er derfor forpliktet til å respektere EMK, som i siste instans håndheves av EMD. Det er utenkelig at EMD ville komme til en annen konklusjon enn EU-domstolen, med hensyn til spørsmålet om den form for tvangslagring som Stortinget har vedtatt er forenlig med EMK (jf min behandling av dette i bokbidraget som det er lenket til ovenfor).

Når statsministeren og enkelte andre peker på at det norske lovvedtaket inneholder “strengere” regler enn det som følger av datalagringsdirektivet og at det (underforstått) derfor kanskje kan gjennomføres uten å være i strid med EMK, bygger det på den feiloppfatning at bare man har strenge regler om lagringssikkerhet, for når myndighetene kan få innsyn i de lagrede opplysningene, domstolskontroll med videre, er den vedtatte tvangslagringen grei.

Det er altså ikke hva EU-domstolen har sagt. Når den også kritiserer direktivet for at det overhodet ikke inneholder bestemmelser om dette, er det tilleggsargumenter for at direktivet er ugyldig etter EU-retten. På dette punktet peker domstolen på at dersom EU i det hele tatt skal vedta pålegg om tvangslagring av borgerens kommunikasjonsdata – selv i en mer målrettet form – må det kreves at EU samtidig vedtar regler om hvordan de lagrede opplysningene skal behandles. I denne sammenhengen må man huske på at tvangslagring (“retention”) av kommunikasjonsdata i seg selv ikke er kontroversielt, når det skjer som ledd i målrettet sikring av bevis i etterforskning av straffesaker. Det er dette domstolen holder åpent for at EU eventuelt kan regulere. I Norge har vi regler om dette, som ble inført i 2005, på bakgrunn av Europarådets datakriminalitetskonvensjon. Disse reglene er omtalt i mitt ovenfornevnte bokbidrag, og jeg har dessuten forklart forholdet mellom dem og den vilkårlige masselagringen som datalagringsdirektivet og det norske lovvedtaket krever, i artikkelen “Kortversjonen: Forskjellen på dagens (rettsstatens) regel og datalagringsdirektivets løsning“.

Regjeringen kan altså ikke sette i kraft Stortingets lovvedtak slik det foreligger i dag – den form for systematisk masselagring av alles kommunikasjonsdata, hele tiden, er rett og slett i strid med blant annet EMK.

Hva Regjeringen nå må ta initiativ til og som Stortinget må vedta, er imidlertid nettopp å innføre krav om domstolskontroll som vilkår for at statens myndigheter – eller andre – kan få innsyn i teleselskapenes logger over borgernes kommunikasjonsdata. Dette har vært påpekt for mange år siden blant annet av det regjeringsoppnevnte Metodekontrollutvalget, og er et problem som er helt uavhengig av datalagringsdirektivet – selv om både Arbeiderpartiet og Høyre i sin tid forsøkte å blande de to spørsmålene sammen, for å skape inntrykk av at innføring av datalagringsdirektivet ville “styrke persomvernet” (sic!). Jeg forklarte dette i artikkelen “Arbeiderpartiets villedende “bundling” av datalagringsdirektivet og domstolskontroll m v” (se også om tilsvarende villedning: “For the record: Høyres og Arbeiderpartiets store bløff“).

Det må kunne forventes at både Regjeringen og Stortinget nå innser at den form for datalagring som datalagringsdirektivet og det norske lovvedtaket la opp til, ikke er rettslig realiserbart. Det er, som jusprofessor Hans Fredrik Marthinussen skrev i Aftenposten i går, på tide at Stortinget rydder opp i “datalagringsrotet”.

SKRIV UT (PRINT)

Leave a comment

3 Comments

  1. Takk for god gjennomgang. Sjøl eg som legmann reagerte på den norske reaksjonen på dommen. Her finn eg gode faglege argument. Håper du når fram til dei ansvarleg før regjeringa tar for mange piruettar.

  2. Takk for gjennomgang av en fascinerende sak (juridisk, politisk, prinsipielt).

    Det som forvirrer meg som ikke-jurist er at EU-domstolen dømmer i en sak som av natur hører under EMK og “den andre” domstolen, den i Strasbourg.

  1. Wessel-Aas: VG misforstår dagens rettstilstand om datalagringsdirektivetAdvokatbladet | Advokatbladet

Leave a Reply